5
这看起来像一个安全的盐与密码一起使用吗?任何改进或建议或明显的缺陷?这看起来像是一个密码的强盐
$salt = '';
for ($i = 0; $i < 50; $i++) {
$salt .= chr(rand(33, 126));
}
A
回答
8
您不需要使盐时间很长,并且加密安全并不重要。盐的重点在于简化彩虹表攻击,因为密码和哈希之间不再有1对1的映射关系。 (他们也跟上目光流连管理员从数据库中看到482c811da5d5b4bc6d497ffa98491e38然后知道乔的密码是“password123”。)
即使是一个4字节的盐就绰绰有余了,你现在就得2 &约;任何密码都有40亿个潜在的哈希值。
3
我会用mt_rand因为它更快,但这是绝对盐足够。
5
我不认为rand是一个很好的PRNG。如果我记得正确的话,它直接映射到c PRNG,在许多实现中它有一个可怕的小(如32位)内部状态。
它也不是很好的种子。但是由于盐的最重要的作用是防止预先计算的彩虹表,这个代码所做的就应该足够了。
我通常分割我的两个部分盐:
- 甲每人用户部分随机其被存储在数据库中沿着散列
- 其被存储在配置文件中的每个应用程序的盐。
这样一个攻击者只能访问数据库而不能访问配置文件(如果攻击使用SQL注入,很可能出现这种情况),他仍然无法破解密码。
3
长度是主要使盐安全。随机性并不是非常重要,只要它对每个用户都不同。反正你最终会以纯文本的方式存储它,所以你可以在散列时使用它。
相关问题
- 1. 这个C#加密代码在NodeJS中看起来像什么?
- 2. Joomla盐增强密码
- 3. 这看起来不像一个功能。这是什么?
- 4. 这是什么做的围棋,看起来像一个铸造
- 5. 这看起来像伪代码是什么样的?
- 6. 一个JRadioButton,看起来像一个JButton
- 7. jQuery的类选择我有一些代码,看起来像这样一个div
- 8. 盐和密码
- 9. PHP盐密码
- 10. 一个词在iPad上看起来像两个,但在桌面上看起来像两个。 (这很难说)
- 11. 这看起来像什么样的加密?
- 12. 这个xpath看起来是否正确?
- 13. 这个swig代码如何在玉器中看起来像?
- 14. 一个看起来像JTextArea的JTextPane
- 15. 如何设计一个微调看起来像这个例子?
- 16. 图像看起来像一个Blob是什么样的?
- 17. 如何创建一个看起来像这样的菜单
- 18. SCJP书,IO部分:这是一个错字还是有一个它看起来像这样的原因?
- 19. 看起来像一个无限循环的代码问题
- 20. 使BorderPane看起来像一个圆圈
- 21. 使WPF DataGrid看起来像一个ListView
- 22. 窗体看起来像一个气球
- 23. 焦油:这看起来并不像一个tar归档
- 24. Javascript - 为什么这两个图像看起来不一样?
- 25. Autotools - tar这看起来不像一个tar归档文件
- 26. 更新一个MySQL表看起来像这样自引用列
- 27. 为什么最后一个数组列看起来像这样?
- 28. iPhone - 建立一个单元格看起来像这样
- 29. 我想创建一个Android页面,看起来像这样
- 30. PHP - 这看起来像一个黑客攻击尝试
你必须知道盐!这不仅仅是单向哈希,它是一次哈希!这是没用的。 – aliqandil 2014-04-03 03:27:11